Dans un arrêt rendu le 9 avril 2025 (Cass. Soc., 9 avril 2025, n°23-13.159), la chambre sociale de la Cour de cassation renforce le contrôle des conditions de validité des preuves issues de dispositifs de traçabilité numérique dans le cadre des relations de travail.
Rappel du droit applicable
Lorsqu’un salarié conteste son licenciement pour faute grave, l’employeur doit être en mesure de prouver les faits reprochés par des moyens de preuve licites, c’est-à-dire obtenus de manière loyale, dans le respect de sa vie privée et des règles légales et réglementaires, notamment celles du RGPD.
Les faits
Un salarié sollicitait, en novembre 2019, une rupture conventionnelle de son contrat de travail. En parallèle des discussions avec son employeur, ce salarié a supprimé 4.631 fichiers des serveurs de l’entreprise et transféré plus de 100 emails contenant notamment des pièces jointes confidentielles sur une adresse email personnelle.
Le service informatique de la Société a confirmé que ces actions provenaient du poste de travail du salarié, en exploitant les fichiers de journalisation (log) et l’adresse IP locale du poste, ce qui a par la suite été confirmé par constat d’huissier.
Sur la base de ces faits, la Société a licencié le salarié pour faute grave, ce que celui-ci a contesté en soutenant que les éléments techniques utilisés pour établir les faits constituaient des preuves illicites.
La Cour d’appel d’Agen a débouté le salarié de ses demandes indemnitaires à hauteur de plus de 200.000 euros, estimant que l’adresse IP utilisée, interne au réseau de l’entreprise, ne constituait pas une donnée à caractère personnel au sens du RGPD.
Décision de la Cour de cassation
La Cour de cassation a adopté une position contraire, jugeant la preuve du licenciement illicite. La Haute Cour rappelle qu’en vertu des articles 4, 5 et 6 du RGPD, une adresse IP – même interne – constitue une donnée à caractère personnel dès lors qu’elle permet d’identifier indirectement une personne physique. Elle juge que l’exploitation des logs à des fins de contrôle individuel de l’activité du salarié, sans son consentement et sans correspondre à la finalité initiale du traitement, constitue une violation des règles de licéité prévues à l’article 6 du RGPD.
Ce faisant, la Cour, cassant l’arrêt d’appel, a écarté la preuve jugée illicite et renvoyé les Parties devant la Cour d’appel de Pau.
A retenir
Cet arrêt invite à une vigilance accrue des employeurs en matière de RGPD au risque de voir les sanctions prises à l’encontre des salariés invalidées.